在RV016、RV042、RV042G和RV082 VPN路由器上配置網關到網關VPN

目標

虛擬專用網路(VPN)用於透過公共或共用網際網路，透過所謂的VPN隧道在兩個端點之間建立安全連線。更具體地說，網關到網關VPN連線允許兩個路由器安全地相互連線，並且一端上的客戶端在邏輯上顯示為像是另一端網路的一部分。這使得資料和資源能夠更輕鬆、更安全地透過Internet共用。

必須在兩台路由器上完成配置才能啟用網關到網關VPN。在兩台路由器之間，執行Local Group Setup和Remote Group Setup部分中的配置應該反轉，以便其中一台路由器的本地組成為另一台路由器的遠端組。

本文檔的目標是解釋如何在RV016、RV042、RV042G和RV082 VPN系列路由器上配置網關到網關VPN。

適用裝置

· RV016
· RV042
· RV042G
· RV082

軟體版本

· v4.2.2.08

配置網關到網關VPN

步驟 1.登入路由器配置實用程式，並選擇VPN > Gateway to Gateway。此時將打開Gateway to Gateway頁：

 

要配置網關到網關VPN，需要配置以下功能：

1.增加新隧道

2.本地組設定

3.遠端組設定

4. IPSec設定

 

增加新隧道

 

隧道編號是一個只讀欄位，用於顯示要建立的當前隧道。 

步驟 1.在Tunnel Name欄位中輸入VPN隧道的名稱。它不必與隧道另一端使用的名稱匹配。

步驟 2.從Interface下拉選單中，選擇要用於隧道的廣域網(WAN)埠。

· WAN1 — RV0XX系列VPN路由器的專用WAN埠。

· WAN2 — RV0XX系列VPN路由器的WAN2/DMZ埠。僅當已配置為WAN而不是非軍事區(DMZ)埠時，才會顯示在下拉選單中。

第3步：（可選）要啟用VPN，請選中Enable欄位中的覈取方塊。預設情況下，VPN處於啟用狀態。

本地組設定

注意：一台路由器上本地組設定的配置應與另一台路由器上遠端組設定的配置相同。

步驟 1. 從Local Security Gateway Type下拉選單中選擇適當的路由器標識方法以建立VPN隧道。 

· 僅IP -本地路由器（此路由器）由靜態IP地址辨識。僅當路由器具有靜態WAN IP時，才能選擇此選項。靜態WAN IP地址會自動出現在IP Address欄位中。

· IP +網域名稱(FQDN)驗證-透過靜態IP位址和註冊的網域即可存取通道。如果選擇此選項，請在「域名」欄位中輸入已註冊域的名稱。靜態WAN IP地址會自動出現在IP Address欄位中。

· IP +電子郵件位址（使用者FQDN）驗證-透過靜態IP位址和電子郵件地址可以存取通道。如果選擇此選項，請在「電子郵件地址」欄位中輸入電子郵件地址。靜態WAN IP地址會自動出現在IP Address欄位中。

· 動態IP +域名(FQDN)身份驗證-透過動態IP地址和註冊域可以訪問隧道。如果選擇此選項，請在「域名」欄位中輸入已註冊域的名稱。

· 動態IP +郵件地址（使用者FQDN）身份驗證-透過動態IP地址和電子郵件地址可以訪問隧道。如果選擇此選項，請在「電子郵件地址」欄位中輸入電子郵件地址。

步驟 2.從Local Security Group下拉選單中選擇可訪問VPN隧道的相應本地LAN使用者或使用者組。預設值為「子網」。

· IP -只有一個LAN裝置可以訪問VPN隧道。如果選擇此選項，請在IP Address欄位中輸入LAN裝置的IP地址。

· 子網—特定子網上的所有LAN裝置都可以訪問隧道。如果選擇此選項，請在「IP地址」和「子網掩碼」欄位中分別輸入LAN裝置的子網IP地址和子網掩碼。預設掩碼為255.255.255.0。

· IP範圍-一系列LAN裝置可以訪問隧道。如果選擇此選項，請在起始IP和結束IP欄位中分別輸入起始和結束IP地址。

步驟 3.按一下Save儲存設定。

遠端群組設定

注意：一台路由器上遠端組設定的配置應與另一台路由器上本地組設定的配置相同。

步驟 1.從Remote Security Gateway Type下拉選單中，選擇用於標識遠端路由器以建立VPN隧道的方法。

· 僅IP -可透過靜態WAN IP訪問隧道。如果您知道遠端路由器的IP地址，請從Remote Security Gateway Type欄位正下方的下拉選單中選擇IP地址並輸入IP地址。如果您不知道IP地址但知道域名，請選擇IP by DNS Resolved（按DNS解析IP），並在IP by DNS Resolved（按DNS解析IP）欄位中輸入路由器的域名。

· IP +網域名稱(FQDN)驗證-透過路由器的靜態IP位址和註冊網域即可存取通道。如果您知道遠端路由器的IP地址，請在Remote Security Gateway Type欄位正下方的下拉選單中選擇IP地址並輸入地址。如果您不知道IP地址但知道域名，請選擇IP by DNS Resolved（按DNS解析IP），並在IP by DNS Resolved（按DNS解析IP）欄位中輸入路由器的域名。在Domain Name欄位中輸入路由器的域名，而不管您選擇用哪種方法來標識路由器。

· IP +電子郵件位址（使用者FQDN）驗證-透過靜態IP位址和電子郵件地址可以存取通道。如果您知道遠端路由器的IP地址，請在Remote Security Gateway Type欄位正下方的下拉選單中選擇IP地址並輸入地址。如果您不知道IP地址但知道域名，請選擇IP by DNS Resolved（按DNS解析IP），並在IP by DNS Resolved（按DNS解析IP）欄位中輸入路由器的域名。在「電子郵件地址」欄位中輸入電子郵件地址。

· 動態IP +域名(FQDN)身份驗證-透過動態IP地址和註冊域可以訪問隧道。如果選擇此選項，請在「域名」欄位中輸入已註冊域的名稱。

· 動態IP +郵件地址（使用者FQDN）身份驗證-透過動態IP地址和電子郵件地址可以訪問隧道。如果選擇此選項，請在「電子郵件地址」欄位中輸入電子郵件地址。

步驟 2.從Remote Security Group Type下拉選單中選擇可訪問VPN隧道的相應遠端LAN使用者或使用者組。

· IP -只有一個特定的LAN裝置可以訪問隧道。如果選擇此選項，請在IP Address欄位中輸入LAN裝置的IP地址。 

· 子網—特定子網上的所有LAN裝置均可訪問隧道。如果選擇此選項，請在「IP地址」和「子網掩碼」欄位中分別輸入LAN裝置的子網IP地址和子網掩碼。 

· IP範圍-可以訪問隧道的一系列LAN裝置。如果選擇此選項，請在起始IP和結束IP欄位中分別輸入起始和結束IP地址。 

注意：隧道末尾的兩台路由器不能位於同一子網上。

步驟 3.按一下Save儲存設定。

IPSec設定

網際網路通訊協定安全(IPSec)是一種網際網路層安全性通訊協定，可在任何通訊作業階段期間，透過驗證和加密來提供端對端安全性。

注意：VPN的兩端都需要使用相同的加密、解密和身份驗證方法來正常工作。為兩台路由器輸入相同的IPSec設定設定。 

步驟 1.從Keying Mode下拉選單中選擇適當的金鑰管理模式以確保安全性。預設模式為IKE和預共用金鑰。

· 手動 -一種自定義安全模式，用於獨自生成新的安全金鑰，且不與金鑰協商。這是進行故障排除時和在小型靜態環境中使用的最佳方法。

· 使用預共用金鑰的IKE - 網際網路金鑰交換(IKE)協定用於自動生成和交換預共用金鑰以建立隧道的驗證通訊。

手動金鑰加密模式的IPSec設定

步驟 1.在Incoming SPI欄位中，為傳入的安全引數索引(SPI)輸入唯一的十六進位制值。SPI在封裝安全負載協定(ESP)報頭中傳輸，並確定對傳入資料包的保護。您可以輸入一個介於100到ffffff之間的值。本地路由器的傳入SPI必須與遠端路由器的傳出SPI匹配。

步驟 2.在Outgoing SPI欄位中輸入傳出安全引數索引(SPI)的唯一十六進位制值。  您可以輸入一個介於100到ffffff之間的值。遠端路由器的傳出SPI必須與本地路由器的傳入SPI匹配。

注意：兩個隧道不能具有相同的SPI。

 

步驟 3.從「加密」下拉式清單中選擇適當的資料加密方法。建議的加密方式是3DES。VPN隧道需要在兩端使用相同的加密方法。

· DES —資料加密標準(DES)使用56位金鑰大小進行資料加密。DES已過時，應僅在一個終端僅支援DES時使用。

· 3DES —三重資料加密標準(3DES)是一種168位元、簡單的加密方法。3DES將資料加密三次，這比DES提供更高的安全性。

 

步驟 4. 從Authentication下拉選單中選擇資料的相應身份驗證方法。推薦的身份驗證是SHA1，因為它比MD5更安全。 VPN隧道需要為兩端使用相同的身份驗證方法。

· MD5 —消息摘要演算法-5 (MD5)是一個128位雜湊函式，透過校驗和計算來保護資料免受惡意攻擊。

· SHA1 -安全雜湊演算法版本1 (SHA1)是一種160位雜湊函式，比MD5更安全，但計算時間更長。

 

步驟 5.在Encryption Key欄位中輸入要加密和解密資料的金鑰。如果您在步驟3中選擇DES作為加密方法，請輸入16位十六進位值。如果您在步驟3中選擇3DES作為加密方法，請輸入40位數的十六進位值。

步驟 6.在Authentication Key欄位中輸入預共用金鑰以驗證流量。 如果在步驟4中選擇MD5作為身份驗證方法，請輸入32位十六進位制值。如果在步驟4中選擇了SHA1作為身份驗證方法，請輸入40位十六進位制值。如果沒有增加足夠的數字，則會在末尾附加零，直到有足夠的數字。VPN通道的兩端需要使用相同的預共用金鑰。

步驟 7.按一下Save儲存設定。

使用預共用金鑰模式配置的IKE

 

步驟 1.從Phase 1 DH Group下拉選單中選擇適當的階段1 DH組。階段1用於在隧道兩端之間建立單面、邏輯安全關聯(SA)，以支援安全身份驗證通訊。Diffie-Hellman (DH)是用於在階段1期間確定金鑰強度的加密金鑰交換協定，它還共用金鑰以驗證通訊。 

· 組1 ― 768位-強度最低的金鑰和最不安全的身份驗證組，但計算IKE金鑰所需的時間最少。如果網路速度較低，則首選此選項。

· 組2 ― 1024位-比組1強度更高的金鑰和更安全的身份驗證組，但計算IKE金鑰需要更多時間。 

· 組5 ― 1536位-強度最高的金鑰和最安全的身份驗證組。它需要更多時間計算IKE金鑰。如果網路速度高，則首選此選項。

 

步驟 2. 從Phase 1 Encryption下拉選單中選擇相應的Phase 1 Encryption以加密金鑰。建議使用AES-128、AES-192或AES-256。 VPN隧道的兩端都需要使用相同的加密方法。

· DES —資料加密標準(DES)使用56位金鑰大小進行資料加密。DES已過時，應僅在一個終端僅支援DES時使用。

· 3DES —三重資料加密標準(3DES)是一種168位元、簡單的加密方法。3DES將資料加密三次，這比DES提供更高的安全性。

· AES-128 -進階加密標準(AES)是128位元加密方法，可透過10個循環的重複，將純文字轉換為密文。

· AES-192 -進階加密標準(AES)是192位元加密方法，可透過12個循環的重複，將純文字轉換為密文。AES-192比AES-128更安全。

· AES-256 -進階加密標準(AES)是256位元加密方法，可透過14個週期重複，將純文字轉換為密文。AES-256是最安全的加密方法。

 

步驟 3.從Phase 1 Authentication下拉選單中選擇適當的階段1身份驗證方法。 VPN隧道的兩端都需要使用相同的身份驗證方法。建議使用SHA1。

· MD5 —消息摘要演算法-5 (MD5)是128位雜湊函式，透過校驗和計算來保護資料免受惡意攻擊。

· SHA1 -安全雜湊演算法版本1 (SHA1)是一種160位雜湊函式，比MD5更安全，但計算時間更長。

 

步驟 4.在Phase 1 SA Life Time欄位中，輸入階段1金鑰的有效時間以及VPN隧道保持活動狀態的秒數。

步驟 5.選中Perfect Forward Secretance覈取方塊以對金鑰提供更多保護。如果任何金鑰受到威脅，此選項允許路由器生成新金鑰。加密資料僅透過被入侵的金鑰進行洩露。這是推薦的操作，因為它可提供更高的安全性。

步驟 6. 從Phase 2 DH Group下拉選單中選擇適當的階段2 DH組。第2階段使用安全關聯，用於確定資料包透過兩個端點時的安全性。

· 組1 ― 768位-強度最低的金鑰和最不安全的身份驗證組，但計算IKE金鑰所需的時間最少。如果網路速度較低，則首選此選項。

· 組2 ― 1024位-比組1強度更高的金鑰和更安全的身份驗證組，但計算IKE金鑰需要更多時間。 

· 組5 ― 1536位-強度最高的金鑰和最安全的身份驗證組。它需要更多時間計算IKE金鑰。如果網路速度高，則首選此選項。

 

步驟 7. 從Phase 2 Encryption下拉選單中選擇相應的Phase 2 Encryption以加密金鑰。建議使用AES-128、AES-192或AES-256。 VPN隧道的兩端都需要使用相同的加密方法。

· NULL —不使用加密。

· DES —資料加密標準(DES)使用56位金鑰大小進行資料加密。DES已過時，應僅在一個終端僅支援DES時使用。

· 3DES —三重資料加密標準(3DES)是一種168位元、簡單的加密方法。3DES將資料加密三次，這比DES提供更高的安全性。

· AES-128 -進階加密標準(AES)是128位元加密方法，可透過10個循環的重複，將純文字轉換為密文。

· AES-192 -進階加密標準(AES)是192位元加密方法，可透過12個循環的重複，將純文字轉換為密文。AES-192比AES-128更安全。

· AES-256 -進階加密標準(AES)是256位元加密方法，可透過14個循環重複將純文字轉換為密文。AES-256是最安全的加密方法。

 

步驟 8.從Phase 2 Authentication下拉選單中選擇適當的身份驗證方法。 VPN隧道需要為兩端使用相同的身份驗證方法。建議使用SHA1。

· MD5 —消息摘要演算法-5 (MD5)是一個128位的十六進位制雜湊函式，透過校驗和計算來保護資料免受惡意攻擊。

· SHA1 -安全雜湊演算法版本1 (SHA1)是一種160位雜湊函式，比MD5更安全，但計算時間更長。

 · Null -不使用身份驗證方法。

 

步驟 9.在Phase 2 SA Life Time欄位中，輸入階段2金鑰有效且VPN隧道保持活動狀態的時間（秒）。

步驟 10.在Preshared Key欄位中輸入之前在IKE對等體之間共用的金鑰，以對對等體進行身份驗證。最多可使用30個十六進位制和字元作為預共用金鑰。VPN隧道的兩端都需要使用相同的預共用金鑰。

注意：強烈建議經常更改IKE對等體之間的預共用金鑰，以確保VPN安全。 

第11步：（可選）如果要啟用預共用金鑰的強度計，請選中Minimum Preshared Key Complexity覈取方塊。它用於透過彩色條確定預共用金鑰的強度。

· 預先共用金鑰強度表—透過彩色列顯示預先共用金鑰的強度。紅色表示強度較弱，黃色表示可接受的強度，綠色表示強度較強。

步驟 12.按一下Save儲存設定。

注意：如果要配置網關到網關VPN 高級部分中提供的選項，請參閱文章，配置RV016、RV042、RV042G和RV082 VPN路由器上網關到網關VPN的高級設定。

修訂記錄

修訂	發佈日期	意見
1.0	11-Dec-2018	初始版本